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La presents invention se rapporte a un dispositif at a un precede 
de protection contre un acces a une memoire et a une machine a affranchir les 
mettant en oeuvre. 

Elle s'applique en particulier aux machines a la detection de tout 
acces interdit, en ecriture a des compteurs ascendants ou descendants d'une 
5 machine a affranchir, compteurs relatifs a des sommes d'argent. Elle s'applique 
aussi, en particulier, a la protection en lecture et ep ecriture d'une de privee 
d'une methode de cryptage ou d'authentification. 

Dans une machine a affranchir, certains compteurs (dits "postaux") 
representant des sommes d'argent. Dans I'etat de la technique anterieure a la 
10 presente invention, aucune protection logicielle n'est prevue contre des acces 
interdits. 

Des solutions consistant a effectuer un verrouillage par une carte 
electronique, sont complexes et couteuses. 

La presente invention vise a remedier a ces inconvenients. 

15 A cet effet, la presente invention vise a utiliser des ressources de 

certains types de processeurs pour proteger les donnees conservees dans 
certaines zones de memoire protegees. Les processeurs en question sont des 
processeurs possedant un point d'arret materiel (connu sous le nom de "debug 
register" signifiant "registre pour la mise au point"). Ces points d'arret materiels 

20 sont, conformement a la presente invention, programmes de maniere a 
controler les acces a une donnee protegee. 
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La mise en oeuvre d'un point d'arret provoque la generation d'une 
interruption a chaque fois qu'une adresse memoire programmee est accedee. 

Ainsi, selon un premier aspect, la presente invention vise un precede 
de protection de donnees dans un dispositif comportant un microprocesseur 
5 possedant au moins un point d'arr§t materiel, caracterise en ce qu'il comporte 
une operation d'affectation de point d'an-et a des donnees a proteger. 

Grace a ces dispositions, une interruption est generee a chaque fois 
qu'une donnee a proteger est accedee. 

Selon des caracteristiques particulieres. le precede tel que 
1 0 succinctement expose ci-dessus comporte : 

- a chaque arret declenche par un point d'arret materiel affect§ a une 
donn§e protegee, une operation de verification de validite de I'acces ; 

- a chaque arret d6clenche par un point d'arret materiel affects a une 
donnee protegee, une operation de verification de la programmation des 

1 5 registres de centrales ; 

- a chaque arret declenche par un point d'arret materiel affecte ^ une 
donnee protegee, une operation de verification de ce que I'adresse de retour de 
I'interruption est dans la zone autorisee du programme ; et/ou 

- une operation d'appel du gestionnaire d'erreur lorsqu'au moins une 
20 operation de verification donne un resultat n§gatif. 

Gr§ce a chacune de ces dispositions, la mise en oeuvre de la 
presente invention est particulierement simple et efficace. 

Selon un deuxieme aspect, la pr6sente invention vise un dispositif de 
protection de donnees dans un systeme comportant un microprocesseur 
25 possedant au moins un point d'arret materiel, caracterise en ce qu'il comporte 
un moyen d'affectation de point d'arret a des donnees a proteger. 

L'invention vise, aussi, une machine a affranchir, caracterisee en ce 
qu'elle comporte un dispositif tel que succinctement expose ci-dessus. 
L'invention vise aussi : 
30 - un moyen de stockage d'informations lisible par un ordinateur ou 

un microprocesseur conservant des instnjctions d'un programme informatique 



caracterise en ce qu'il permet la mise en oeuvre du procede de invention telle 
que succinctement exposee ci-dessus, et 

- un moyen de stockage d'informations amovible, partiellement ou 
totalement, et lisible par un ordinateur ou un microprocesseur conservant des 
5 instnjctions d'un progrannme informatique caracterise en ce qu'il permet la mise 
en oeuvre du procede de I'invention telle que succinctement exposee ci-dessus. 

Ce dispositif, cette machine a affranchir et ces moyens de stockage 
presentant les memes avantages que le procede succinctement expose ci- 
dessus, ceux-ci ne sont pas rappeles id, 
10 D'autres avantages, buts et caracteristiques ressortiront de la 

description qui va suivre, faite en regard des dessins annexes dans lesquels : 

- la figure 1 represente, une machine a affranchir mettant en oeuvre 
le dispositif et le procede de protection objet de la presente invention, 

- la figure 2 represente, schematiquement, un circuit electronique 
1 5 incorpore dans la machine a affranchir illustree en figure 1 , et 

- la figure 3 represente un organigramme de fonctionnement du 
dispositif illustre en figures 1 et 2. 

La machine a affranchir 1 illustree sur les dessins comporte un 
dispositif pour imprimer. sur un objet plat tel que la lettre 2, d'une part, une 
20 marque d'affranchissement et, eventuellement, une adresse de destination de 
I'enveloppe. 

Pour imprimer la marque d'affranchissement sur Templacement 
normalise prevu a cet effet, il faut faire passer la lettre 2 dans un couloir 5 que 
comporte la machine 1, ce couloir etant delimite par des elements solidaires du 

25 bati, respective ment un support de glissement 6 qui forme le plafond du couloir 
5, une table 7 qui en forme le plancher et une rampe qui en forme une limite 
laterale, le couloir etant ouvert a Toppose de cette rampe. 

Pour faire passer la lettre 2 dans le couloir 5, on pose la lettre sur la 
partie de la table 7 qui est en saillie du cote prevu pour introduction (cote que 

30 I'on voit a gauche en figure 1) puis on fait rentrer la lettre dans le couloir 5, 
comme montre en figure 1, jusqu'a ce qu'elle soit entramee par les moyens 
prevus a cet effet dans la machine 1, Timpression de la marque 
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d'affranchissement s'effectuant automatiquement pendant que la lettre 2 est 
entraTn§e dans le couloir 5, la lettre affranchie etant expulsee de la machine a 
I'autre extremite du couloir 5 (extrennite que Ton voit a droite en figure 1). 

Pour entramer la lettre 2, la machine 1 comporte deux galets 9 et 10 
5 passant chacun au travers d'une ouverture de la table 7. et deux contre-galets 
12 et 13. respectivement pour le galet 9 et pour le galet 10, passant au travers 
d'une ouverture du support 6. 

Les galets 9 et 10 sont months a rotation par rapport au b§ti de la 
machine 1, par I'intermediaire de moyens de suspension 14 montres 
1 0 schematiquement sur la figure 1 . 

Les contre-galets 12 et 13 sont montes a rotation sur le bati de la 
machine 1, sans etre suspendus par rapport a celui-ci. Un moteur electrique 
non repr§sente sert a entratner en rotation synchrone les contre-galets 12 et 
13, par exemple par I'intermediaire d'une courroie (non representee) qui tourne 
15 autour de trois pignons portes respectivement par le moteur, par le contre-galet 
12 et par le contre-galet 13. 

Etant donn6 que les moyens de suspension 14 sollicitent les galets 9 
et 10 vers le support 6, et done vers les contre-galets 12 et 13. les galets 9 et 
10 sont entrames par friction sur les contre-galets 12 et 13. directement ou par 
20 I'intermediaire d'un objet. tel que la lettre 2. en cours de passage dans la 
machine 1 . 

La lettre 2, lorsqu'elle est introduite dans le couloir 5 comme montr6 
sur la figure 1 , finit par rencontrer le galet 9 puis le contre-galet 12 qui I'entraTne 
dans le sens indique sur la figure 1 par la fleche horizontal orientee de gauche 

25 a droite. Simultanement, le galet 9 s'abaisse tandis que la lettre 2 s'introduit 
entre les galets 9 et 12 de sorte que la lettre 2 progresse dans la machine 1 
avec sa face a imprimer 4 qui est plaquee et qui glisse contre la surface 17 du 
support de glissement 6. 

Pour imprimer la marque d'affranchissement a I'emplacement 

30 normalise qui lui correspond et/ou I'adresse de destination a I'emplacement 
normalise qui lui correspond, la machine 1 comporte des moyens d'impression 
19 montres tres schematiquement sur la figure 1 . 
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D'une fagon generale, les moyens d'impression 19 deposent la 
marque d'affranchissement pendant que la lettre 2 ou l*objet a affranchir circule 
dans la nnachine 1 avec sa face a imprimer qui est plaquee centre la surface 17 
du support de glissement 6, les moyens 19 etant situes entre les contre-galets 
5 12et13. 

Dans Texemple illustre, les moyens d'impression 19 sont montes 
directement sur le bati de la machine, et sont done fixes par rapport au support 
de glissement 6. 

Afin que les moyens d'impression 19 soient commandes en 
10 synchronisme avec I'avancement de Tobjet dans la machine, il est prevu un 
detecteur de presence de Tobjet (non represente) qui declenche un processus 
d'impression se deroulant automatiquement. 

Plus precisement, il existe un premier detecteur de presence qui 
commande la mise en route du moteur (non represente) lorsqu'un objet 
15 commence a etre introduit dans la machine 1. et un deuxieme detecteur de 
presence (non represente) qui declenche le processus d'impression lorsque 
Tobjet est pan/enu a un emplacement predetermine. 

En figure 2, est represente un circuit electronique de commande du 
dispositif tel que presente en figure 1. Ce circuit est illustre sous forme de 
20 schema synoptique et represente sous reference generale 100. II comporte, 
relies entre eux par un bus d'adresses et de donnees 102 : 

- une unite centrale de traitement (microprocesseur) 106 ; 

- une memoire vive RAM 104 ; 

- une memoire morte flash PROM 105 ; 

25 - un port d'entree sortie 103 sen/ant a recevoir : 

• le poids de Tobjet postal a affranchir, et 

• la detection de I'objet postal par chacun des detecteurs (non 
representes aux figures) 

et a transmettre : 
30 • des signaux de commande de moteurs. et 

et, independamment du bus 102 : 

- des moteurs pas-a-pas 109 ; 



- des detecteurs de presence 110 ; 

- un ecran de visualisation 108 relie au port d'entree/sortie 103 ; 

- une balance 112 relive au port d'entree/sortie 103 et fournissant 
des octets representatlfs du poids d'un objet postal ; et 

- un clavier 101 relie au port d'entree/sortie 103 et fournissant des 
octets representatlfs des touches de clavier successivement utilisees. 

Chacun des Elements illustres en figure 2 est bien connu de I'homme 
du metier des circuits a microprocesseur et, plus gen^ralement, des systemes 
de traitement de I'information. Ces elements ne sont done pas decrits id. 

La memoire vive 104 conserve des donnees, des variables et des 
resultats intermediaires de traitement, dans des registres de memoire portent, 
dans la suite de la description, les memos noms que les donnees dont ils 
conservent les valours. La memoire vive 104 comports notamment des 
registres consen/ant des informations representatives du poids de I'objet postal 
a affranchir, le format de I'objet postal en cours de traitement, le nombre 
d'objets postaux dans le lot en cours de traitement, des valeurs de compteurs 
ascendant et descendant qui correspondent a des montants d'affranchissement 
dej^ deposes et restant a deposer avant le rechargement de la machine. Ces 
derniers registres fonctionnent selon des techniques connues dans le domaine 
des machines a affranchir (au cours de chaque affranchissement, lorsque le 
montant du compteur descendant est superieur au montant de la marque 
d'affranchissement a d§poser, il est decremente du montant de cette marque et 
le compteur ascendant est increments du meme montant). 

La memoire morte 105 est adaptee a conserver le programme de 
fonctionnement de I'unite centrale de traitement 106, dans un registre 
" programi ", et les donnees necessaires au fonctionnement de ce programme. 
En particulier, sont conserves dans la memoire morte 105 : 

- des valeurs correspondent aux registres de controle (voir test 302, 
en figure 3), et 

- des adresses correspondent S un retour d'interruption dans une 
zone autorisee du programme, (voir test 303. figure 3). 




En fait, la memoire dite "morte" 105 est une memoire reinscriptible 
qui ne s'efface pas lorsque le dispositif est eteint. Ella n'est reinscriptible que 
selon des procedures securisees at seulement par certaines personnes 
habilitees, si bien que, pour Tutilisateur quotidian, elle apparait comme une 
5 memoire morte. 

L'unite centrale de traitement 106 est adaptee a mettre en oeuvre le 
programme conserve en memoire morte 105 et a organiser la memoire vive 
104, conformement a la figure 3. 

Le programme ou logiciel de la machine a affranchir est un logiciel 
10 multitache, ce qui implique une allocation, par le processeur, d'un espace 
memoire, ou pile, associe a chaque tache. Get espace memoire est contenu 
dans la memoire vive 104. 

Dans le mode de realisation decrit et represents. Tunite centrale 106 
est un processeur du type INTEL (marque deposee) de la generation ou plus 
15 jeune que la generation 80386 (marque deposee). Un registre pour la mise au 
point permet de proteger un mot de 32 donnees binaires, ou bits. En utilisant 
plusieurs registres identiques. il est possible de proteger des zones de memoire 
plus importantes. 

Conformement a la presente invention, on effectue une operation 
20 d'affectation de point d'arret a des donnees a proteger. 

On observe ici que les points d'arret materiels et le type d'acces 
interdit sont programmes a I'aide de registres. Ceux-ci sont verifies 
regulierement de maniere a garantir que la donnee protegee Test toujours. Le 
registre de commande des registres pour la mise au point permet de specifier le 
25 type d'acces a controler (lecture, ecriture, execution). 

Ainsi, lors d'un acces a une donnee protegee, Tacces est detecte par 
le microprocesseur et une interruption est effectuee. 

Au cours de interruption qui est lancee lorsqu'un acces a la donnee 
protegee est detecte, on verifie la bonne programmation des registres de 
30 controle, en les comparant aux valeurs de reference consen/ees en memoire 
morte 105, et si I'acces a la donnee est licite. 
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On effectue ainsi, a cheque arret declenche par un point d'arret 
materiel affecte a une donnee protegee, une operation de verification de validity 
de I'acces. 

Lors de Tappel de Tinterruption, I'adresse courante du pointeur 
5 d'instruction est sauvegardee. Selon un mode de realisation de la presente 
invention, cette adresse courant du pointeur d'instruction est compares avec les 
adresses memoire des fonctions autorisees a acceder aux donnees protegee. 

Si Tacces est autorise, I'operation d'acces se poursuit. Sinon, si 
I'acces est interdit ou si le contenu des registres de programmation a ete 
10 modifie, le gestionnaire d'erreur est immediatement appel6 pour signaler que 
I'acces §tait interdit et que le contenu de cette donnee n'est plus valide (dans le 
cas d'une 6criture). En effet, dans le mode de realisation decrit et represente, et 
dans le cas de la protection en ecriture. celle-ci est effectuee avant la 
generation de I'interruption. 
15 Dans le cas de la protection de compteurs, le proced6 de I'invention 

permet d'indiquer que la valeur d'un compteur a ete alteree et, dans le cas 
d'une double sauvegarde, il est possible de stopper I'application et d'indiquer 
quel compteur est valide. 

Dans le cas de la protection d'une de d'encryptage ou 
20 d'authentification. la mise en ceuvre de I'invention permet de d6tecter toute 
lecture illicite et d'assurer la validite de la cle et de valider le changement de cl6. 

En figure 3, on observe que, lors d'un acces a une donnee controlee 
est detecte, operation 301 , une interruption est declenchee. 

Au cours de cette interruption, au cours d'un test 302. I'unit6 centrale 
25 106 determine si les registres de controle sont programmes correctement, ou 
non, par comparaison des valeurs contenues dans ces registres avec des 
valeurs conservees en memoire morte 105, 

Lorsque le resultat du test 302 est positif, au cours d'un test 303, 
I'unite centrale 106 determine si I'adresse de retour de I'interruption est dans la 
30 zone autorisee du programme, ou non, en comparant cette adresse avec des 
adresses conservees en memoire morte 105. 



Lorsque le resultat de Tun des test 302 ou 303 est negatif, au cours 
d'une operation 305, Tunite centrale 106 precede a un appel du gestionnaire 
d'erreur en deroutant Texecution du logiciel vers la zone correspondant au 
gestionnaire d'erreur en mennoire morte 105. 

Lorsque le resultat du test 303 est positif, Tinterruption en cours est 
achevee et Tunite centrale 106 effectue un retour au programme qui etait en 
cours d'execution lors de I'acces a une donnee controlee detectee au cours de 
Toperation 301. 



leuille avant rectification 
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REVENDICATIONS 

1. Procede de protection de donnees dans un systeme comportant 
un microprocesseur (106) possedant au moins un point d'arret materiel (301), 

5 caracterise en ce qu'il cx>mporte une operation d'affectation de point d'arret a 
des donnees a proteger. 

2. Procede de protection selon la revendication 1, caracterise en ce 
qu'il comporte, a chaque arret (301) declenche par un point d'arret materiel 

10 affecte a une donnee protegee, une operation de verification de validite de 
I'acces (302. 303). 

3. Procede de protection selon I'une quelconque des revendications 
1 ou 2, caracterise en ce qu'il comporte, a chaque arret (301) declenche par un 

15 point d'arret materiel affecte a une donnee protegee, une operation de 
verification de la programmation des registres de controle (302). 

4. Procede de protection selon Tune quelconque des revendications 
1 a 3, caracterise en ce qu'il comporte, a chaque arret (301) declenche par un 

20 point d'arret materiel affecte a une donnee protegee, une operation de 
verification de ce que Tadresse de retour de Tinterruption est dans la zone 
autorisee du programme (303). 

5. Procede de protection selon Tune quelconque des revendications 
25 2 ^4, caracterise en ce qu'il comporte une operation d'appel de gestionnaire 

d'erreur (305) lorsqu'au moins une operation de verification (302, 303) donne 
un resultat negatif. 

6. Dispositif de protection de donnees dans un systeme comportant 
30 un microprocesseur (106) possedant au moins un point d'arret materiel, 

caracterise en ce qu'il comporte un moyen d'affectation (106) de point d'arret a 
des donnees a proteger. " 



11 



7. Dispositif de protection selon la revendication 6, caracterise en ce 
quil comporte un moyen de verification (106) de validite de ctiaque acces 
correspondant a un arret declenche par un point d'arret materiel affecte a une 

5 donnee protegee. 

8. Dispositif de protection selon Tune quelconque des revendications 
6 ou 7, caracterise en ce qui! comporte un moyen de verification (106) de la 
programmation des registres de controle. 

10 

9. Dispositif de protection selon Tune quelconque des revendications 
6 a 8, caracterise en ce qu'il comporte un moyen verification (106) de ce que 
Tadresse de retour de Tinterruption est dans la zone autorisee du programme. 

15 10. Dispositif de protection selon Tune quelconque des 

revendications 6 a 9, caracterise en ce qu'il comporte un moyen d'appel (106) 
de gestionnaire d'erreur lorsqu'au moins un moyen de verification fournit un 
resultat de verification negatif. 
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RFVFNDICATIONS 



feuille rectiftee 



1. Procede de protection de donnees dans un systeme comportant 
un microprocesseur (106) poss§dant au moins un point d'arret materiel (301), 
caracterise en ce qu'il comporte une operation d'affectation de point d'arret a 
des donnees a proteger. en ce qu'il consiste a provoquer dans ledit 
microprocesseur (106) la generation d'un arret ou interruption (301) a chaque 
fois qu'une desdites donnees a proteger est acced6e. 

2. Procede de protection selon la revendication 1, caracterise en ce 
qu'il comporte, a chaque arret (301) declenche par un point d'arret materiel 
affects a une donnee protegee, une operation de verification de validite de 
I'acces (302, 303). 

3. Procede de protection selon I'une quelconque des revendications 
1 ou 2, caracterise en ce qu'il comporte, ^ chaque arret (301) declenche par un 
point d'arret materiel affects a une donnee protegee, une operation de 
verification de la programmation des registres de controle (302). 

4. Procede de protection selon Tune quelconque des revendications 

1 a 3, caracterise en ce qu'il comporte, a chaque arret (301) declenche par un 
point d'arret materiel affecte a une donnee protegee, une operation de 
verification de ce que Tadresse de retour de interruption est dans la zone 
autorisee du programme (303). 

5. Procede de protection selon i'une quelconque des revendications 

2 a 4, caracterise en ce qu'il comporte une operation d'appel de gestionnaire 
d'erreur (305) lorsqu'au moins une operation de verification (302, 303) donne 
un resultat n§gatif. 

6. Dispositif de protection de donnees dans un systeme comportant 
un microprocesseur (106) poss6dant au moins un point d'arret materiel, 

- caracterise en ce qu'il comporte un moyen d'affectation (106) de point d'arret a 
des donnees a proteger. 

FR 98 14774 
.-^ MAI iqqq 
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feuille rectitie 



7. Dispositif de protection selon la revendication 6, caracterise en ce 
qu'il comporte un moyen de verification (106) de validite de chaque acces 
correspondant a un arret declenche par un point d'arret materiel affecte a une 
donnee protegee. 

8. Dispositif de protection selon Tune quelconque des revendications 
6 ou 7, caracterise en ce qu'il comporte un moyen de verification (106) de la 
programmation des registres de controle. 

9. Dispositif de protection selon I'une quelconque des revendications 
6 a 8, caracterise en ce qu'il comporte un moyen verification (106) de ce que 
I'adresse de retour de Tinterruption est dans la zone autorisee du programme. 

10. Dispositif de protection selon Tune quelconque des 
revendications 6 a 9, caracterise en ce qu'il comporte un moyen d'appel (106) 
de gestionnaire d'erreur lorsqu'au moins un moyen de verification fournit un 
resultat de verification negatif. 



FR 98 14774 
3 MAI 1999 
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